老闆,我們的網站又掛了——漫談 DDoS 攻擊

最新的數據顯示,DDoS 的攻擊頻率、發展成熟度、及規模都呈現成長的趨勢。根據 Prolexic 發表的 2014 年第一季全球 DDoS 攻擊報告,DDoS 的攻擊量與去年同期相比呈現 47% 的成長,而攻擊目標所處的產業也變得比以前更為廣泛。這些數據充分印證了 DDoS 攻擊如今已變得更有效,並成為現今攻擊者囊中寶的事實。
評論
評論

本文作者 John Ellis 為 Akamai 亞太暨日本地區企業安全總監。

DDoS 工具套組、DDoS-for-hire、比特幣、匿名郵件、TOR 連線、及形形色色的攻擊動機,皆讓網路攻擊行動之於個人、駭客組織、網路罪犯都變得更加容易。最新的數據顯示,DDoS 的攻擊頻率、發展成熟度、及規模都呈現成長的趨勢。根據 Prolexic 發表的 2014 年第一季全球 DDoS 攻擊報告,DDoS 的攻擊量與去年同期相比呈現 47% 的成長,而攻擊目標所處的產業也變得比以前更為廣泛。這些數據充分印證了 DDoS 攻擊如今已變得更有效,並成為現今攻擊者囊中寶的事實。

進入網路世界

轉眼間,網際網路已對人類的生活產生前所未有的衝擊,舉凡在學術研究、多元整合、商務、甚至是戰爭,也都因網際網路的出現,而拓展出更多應用空間。網際網路現今的發展與它最原始的樣貌,也隨著產業的創新與演進而一點一滴的改頭換面了。在商業世界中,網路內容重新定義了企業的運作模式,除了電子商務的應用,企業能透過網站與消費者、合作夥伴、供應商進行互動;也逐漸轉移關鍵的專案流程至網際網路,以獲得更有效的資源分配與成本效益。

網際網路的生活應用涵蓋了穿戴式科技、管理電力與水利的整合控制系統、金融體系、音樂串流、行動連網、社群媒體等各大生活面向。上述這些服務與系統運作皆擁有連網的特質,現實生活中,除了我們也不再需要「上網」,而是隨時處於「連網」狀態,網路攻擊亦然。

分散式阻斷服務(DDoS)——破壞性的武器

DDoS 並非網路攻擊領域中的新名詞,自 1990 年代晚期至 2000 年代早期以來,DDoS 被充分運用在干擾商業組織與政府網站,然而,早期的 DDoS 攻擊會因規模與成熟度不足而成功阻擋在前端、抑或有效地被網際網路服務供應商(ISP)攔截。

隨著市場不斷推出新型防禦機制,網路攻擊也不惶多讓,具備突破防禦機制更高的本事。攻擊的本質是佔據實際體積的,攻擊方式包括了塞爆連接攻擊目標的網路頻寬、以及鎖定協定或應用程式內在弱點,進而癱瘓了網站服務與登錄管道,令網路使用者不得其門而入。

舊潮流再次成為新趨勢——反射與放大 UDP 攻擊

在時尚產業中,舊潮流總有機會再次成為一股新趨勢,使用者資料包通訊協定(UDP)最美妙之處,在於屬於「射後不理(fire and forget)」類型的通訊協定,其設計主要是針對效率與速度的需求,然缺點則是較缺乏安全與可靠的特性,不過憑著網路通訊最基本的可靠性,它依然成為許多核心網路服務如 DNS(網域名稱系統)與 NTP(網路時間協定)較偏好的協定類型。

我非我——欺騙封包

建於 UDP 的通訊協定如 DNS 與 NTP,不必與現存的 TPC 第四層傳輸層進行三向溝通便能做出回應,不過這也意味著它將盲目地對任何 IP 位址發出的要求做出回應。不幸的是,這種模式由於容易被偽造,隨之出現的第一部分問題是攻擊者利用受害者的 IP 位址當作其請求 IP 位址的結果。

當我問了一個簡單的小問題,竟得到一個超大的答案——放大效應

放大攻擊的第二部分是由服務構成的要求類型,舉例來說,我們可將它想像為一個「生命問題」,攻擊者在提出「生命的意義為何?」這個簡單問題後,會獲得一個複雜難懂的答案。除非我們在說的是《銀河便車指南》,那麼答案當然就是 42。1

所以,當攻擊者假受害者的名義,向為數眾多的一般人提出「生命的意義為何?」之後,便會隨之產生排山倒海而來的複雜答案,進而讓受害者的系統、網路、甚至是 ISP 因此癱瘓,而這些千篇一律的答案即為「阻斷服務」。

我的防火牆可與你抗衡——傳統的方法(legacy approach)

第一個對策是讓防火牆具備解決問題的能力。普遍而言,這些龐大且成熟的攻擊會癱瘓資料中心的網路連結,或是以應用程式架構的攻擊類型,偽造成合法網站再加以發動攻擊。

舉例來說,熱門網站流量突然暴增的情況,與攻擊者對同一個內容每秒提出上千次的要求,兩者的差別為何?你的防火牆在面對相似的情況時,是否具備足以辨識要求來源合法與否的能力?當我們接受了過多所謂「合法」的要求時,網路連結被塞爆的第一類問題也隨之出現了。

我的 ISP 上有你的號碼——傳統的方法(legacy approach)

讓我們接著談談 ISP 的問題,ISP 的挑戰在於有些攻擊規模壯大到差點超過 400Gbps,此外,大型企業傾向擁有多個 ISP,以作為備援(Redundancy)及負載平衡(Load Balancing)之用途。這種作法除了需要由 ISP 提供「以牙還牙」的緩解能力,也需要 IT 部門勞師動眾,整合各個 ISP 以確保緩解方案會持續被付諸執行。

為什麼有人想對我發動攻擊?

現在就讓我們直搗問題的核心:「為什麼會有人想對我的企業發動 DDoS 攻擊?」答案其實相當廣泛,必須依各企業不同的本質而定。對政府機構而言,受攻擊的原因可能與政策制定或是代表的國家有關;而對電子商務零售商或金融機構而言,則有可能與錢財勒索、或特定的代表人物相關。

事實上,現今的攻擊動機形形色色,且幾乎任何人都能對其他網站發動攻擊,如此普遍的程度意味著:一旦有動機產生,人人都有發動攻擊的機會。

該投降嗎? 我又該怎麼做? 解決方案

近期的 IDG 研究服務調查顯示,現今絕大多數的科技與安全經理人,對網站安全抱持高度顧慮。這份調查將網站安全定義為能保護網站伺服器與使用者,使其免於與資料及系統妥協、及遭受阻斷服務的科技與程序,例子包括網站應用程式的防火牆、DDoS 緩解、及使用者認證。在這份調查中,受訪者普遍認為網站安全與電子郵件或 FTP 安全同等重要(佔 76%),或認為網站安全更具重要性(佔 14%)。這些由企業 IT 解決的主要問題,需要投入 79% 的時間;其中與安全性相關的問題僅佔 50% 的時間。當然,網站安全並非本次受訪者唯一的顧慮,網站可取得性也是受訪者常態的答案,緊接著還包括惡意軟體、資料損失、及惡意破壞等情況。

對於想解決 DDoS 攻擊問題的組織,我的第一個建議為:仔細思考當企業或組織淪為 DDoS 攻擊目標,而陷入被癱瘓的危機時,我們應採取哪些因應與恢復策略?是否需主動與媒體互動?是否有潛在的金融衝擊?能忍受處於線下情況的最大時數為何?如何回應股東、利害關係人、及合作夥伴?是否能透過替代方案維持業務運作?該如何進行事後恢復?

以上的問題(或更多)都必須在我們開始投資緩解方案前,親自審慎思考一遍,並一一找出問題的答案。那麼,你決定要如何化解危機了嗎?最佳方案又會是什麼呢?

區分機密與非機密

我常常看到許多組織將電子商務、營收及品牌資訊,與一般非機密的應用程式(如:外部瀏覽內容、電子郵件等)放在同一個網路連結上頭,我建議大家花點時間,將所有的應用程式依機密程度分門別類,並分開處理。

導致失敗的一大重點——最脆弱的連結

「你與你最脆弱的連結一樣強大」這句俗諺也可用來印證對抗 DDoS 的情況,攻擊者能相對輕易地找出你最脆弱的網站連結,並加以攻擊。

分散式攻擊需要用分散式防禦抗衡

在網際網路的各個角落,配置適合你的專屬安全防禦措施,是對抗分散式攻擊的絕佳方法。如果你只是將網站「推送」出去,那麼你大可不必接受來自內部 DNS 或 NTP 的流量!Akamai 擁有全球規模最大的分散式防禦平台,請試著想像一下你在攻擊者經常連線的 ISP 內,擁有專屬的安全政策,能在網際網路的各個角落有效阻擋負面效應,並加速正面效益是一個多麼強而有力的方法啊!

保護來源

如果你想在網路世界中達到防護效果,卻又無法分散流量,那麼對整個資料中心進行防護也是一個聰明的策略。透過為 DDoS 攻擊而特別設計的緩解服務,進行流量引導規劃,例如 Akaami 旗下的 Prolexic 服務,能讓你抵禦各種類型 DDoS 攻擊,其中涵蓋各種大小的攻擊,以及應用程式層級的成熟型攻擊。


網路服務領導者第一線 DYXnet,以優質資料中心及 BMS 方案成企業數位轉型最強助手

第一線作為大中華區領先的電信中立網路服務供應商,提供企業可靠、安全、靈活管理的 IDC 解決方案,包含 IDC 機房服務以及新型態雲服務─Bare Metal Service (BMS),在兼顧效能及成本效益之下,協助企業擁抱新世代商業型態。
評論
photo credit:第一線DYXnet
評論

近年 5G、AIoT、大數據及數位內容等服務蓬勃發展,企業也逐漸走向多雲、混合雲部署,同時因為疫情促使遠距會議、宅經濟及影視產業商機崛起,大幅提升企業對各類數據的應用,為因應雲端化及數位轉型而急速增加的跨國通訊傳輸,企業對於資料的妥善儲存和維護亦面臨極大的挑戰。

第一線作為大中華區領先的電信中立網路服務供應商,提供企業可靠、安全、靈活管理的 IDC(Internet Data Center)解決方案,包含 IDC 機房服務以及新型態雲服務─Bare Metal Service (BMS),在同時兼顧效能及成本效益之下,協助企業全力擁抱新世代商業型態,簡單迅速地佈局海外市場,在後疫情時代下取得先機,創造雙贏。

第一線提供全方位的 IDC 解決方案,解決企業快速拓展需求

第一線提供全方位的 IDC 機房服務,滿足企業對機房環境高坪效、高品質及高穩定度的要求,企業無須煩惱自建機房昂貴的成本及繁瑣的管理業務,即可享有營運商等級的基礎設施、全球串聯的便捷網路,以及安全可靠的設施環境。

第一線的 IDC 機房基礎設施包含強大的跨國際骨幹網路架構、電力備援系統、環境控制及防火保護,以符合國際電信機房的標準。另外 7X24X365 全天候的監控與技術支援服務,讓企業主可在安全的環境中,穩定快速地處理所有對內與對外的需求。

第一線的 IDC 機房基礎設施包含強大的 跨國際骨幹網路架構、電力備援系統、環境控制及防火保護,以符合國際電信機房的標準,提供企業專業的 IDC 服務。(本圖為示意,非第一線機房圖片) / photo credit:第一線DYXnet

第一線曾協助某大型雲端供應商,在 2019 年新加坡宣布暫停建置新資料中心後,透過自身強大的合作夥伴人脈,獨家取得獨立資料中心的樓層,完成建置逾 300 個機櫃的任務。第一線也針對客戶的需求,客製化整體電力、空調系統、機房隔間、門禁系統等,增設維運管理及人力外派,一條龍整合資源,一次購足免除客戶東奔西走的繁雜準備,更能專注於核心業務發展。

輕量彈性新選擇─Bare Metal Service 新型態雲服務

Bare Metal Service (BMS) 提供自媒體、串流平台及遠端應用等新型態商業模式公司,高彈性、高安全性、低營運成本、輕資產,快速部署的雲端資料中心解決方案,企業無須一次性支付大筆費用,以使用量彈性計費,讓每一分預算都能花在刀口上。

由第一線採購部署,縮短客戶採購建置週期,BMS 具有更高的靈活性及成本優勢,也大幅提升資料乘載,能支援大數據、高效能資料庫,更能應對遊戲及財務金融產業,高資料負載需求,讓每個用戶擁有專屬、靈活且高效能的服務。

第一線累積逾20年的服務經驗,為企業客戶提供標準化及客製方案多元選擇,並善用 BMS 的優勢,實現物理性阻隔獨佔使用資源,同時結合全球資料中心足跡與實體資源分隔,提升安全性,滿足複雜的安全與法規需求。

以第一線的電商客戶為例,電商產業淡旺季的資源需求有所不同,傳統的資料中心解決方案無法彈性應變,因此第一線結合紅帽 OpenShift 容器平台技術打造「一體化混合雲解決方案」,除了依照客戶的促銷週期,提供即時標準設備的短期服務及快速擴充,7x24 小時全天候遠端及現場的技術支援,迅速排除困難,在這次的合作中,第一線協助客戶靈活地佈建資源,貼心且可靠的技術團隊也成為客戶最有力的後盾。

選擇第一線 DYXnet,成為產業最前線

數位經濟浪潮加速來襲,身處瞬息萬變的網路世界和高度競爭的商業環境,高效、安全穩定的伺服器、資料庫及網路設備成為不可或缺的要素,有鑑於各國對於資料主權及落地權的要求愈來愈高,企業對於資料中心及跨境連線的重視程度也日益升高。

第一線專業、積極且到位的服務深受大中華地區企業口碑肯定,囊括 ISO 27001、ISO 20000、ISO 9001 認證,採取最嚴格的安全措施,以業界最佳標準作業提供服務。

此外,第一線自 2008 年以來,積極於東南亞佈局網路資料中心,深耕東南亞市場多年,豐富的人脈及合作經驗,也是企業發展新南向業務最為可靠的夥伴。第一線在海內外豐富的合作經驗,能有效提供各類型企業專業的 IDC 解決方案,更推出 BMS 全方位服務,滿足企業成本、安全性、服務品質等多重考量,協助企業在數位經濟下快速發展數位業務。

第一線(DYXnet)憑藉卓越的團隊領導及經營,優良的企業形象,及豐沛的專業素養,榮獲中華民國傑出企業管理人協會頒發的「第二十一屆金峰獎十大傑出企業」。 / photo credit: 中華民國傑出企業管理人協會

第一線 DYXnet